חוקרי אבטחה חשפו פגיעות בבלוקצ'יין TRON ב-30 במאי שבעבר סיכנה 500 מיליון דולר של קריפטו.
חותם אחד יכול היה לגשת לחשבונות mulitisig
צוות המחקר של 0d במעבדות dWallet אמר שפגיעות קריטית של יום אפס בבלוקצ'יין TRON הותירה חשבונות מולטיsig פתוחים לגניבה.
חשבונות Multi-sig חייבים להיות חתומים במספר חתימות לפני שהם מבצעים עסקה, כפי שהשם מרמז. עם זאת, הפגיעות שנמצאה ב-TRON הייתה מאפשרת לכל חותם המשויך לכל חשבון multisig נתון לגשת לבד לכספים בתוך אותו חשבון.
פיקוח על הגישה של TRON ל-multisig גרם לכך שתהליך האימות שלה לא אימת את כל המידע הדרוש. קו ההתקפה הזה היה "מתגבר לחלוטין" על אבטחת ה-multisig של TRON, לפי חוקרי 0d.
חבר הצוות עומר סדיקה כתב:
"... תהליך אימות ה-multisig [ניתן היה לעקוף] על ידי חתימה על אותה הודעה עם אי-נקסים לא דטרמיניסטיים... במילים פשוטות, חותם אחד יכול ליצור מספר חתימות חוקיות עבור אותה הודעה."
הפתרון לבעיה זו היה פשוט, לדברי החוקרים. חתימות נבדקות כעת מול רשימת כתובות, לא רק רשימת חתימות.
פגיעות דווחה בפברואר
צוות המחקר של 0d אמר שהם דיווחו על הבעיה דרך תוכנית הבאגים של TRON ב-19 בפברואר. הצוות הוסיף ש- TRON תיקן את הפגיעות תוך ימים, והם אמרו שרוב מאמתי ה- TRON מתוקנים כעת.
חוקרים הדגישו בהצהרה נפרדת בטוויטר כי "אין נכסי משתמש בסיכון" כעת לאחר שהפגיעות תוקנה.
TRON עדיין לא פרסמה הצהרה פומבית משלה.
הפוסט TRON נמנע מפגיעות של 500 מיליון דולר מולטי-סייג הופיע לראשונה ב- CryptoSlate.
מקור: https://cryptoslate.com/tron-avoided-500m-multisig-vulnerability/